View a markdown version of this page

Menyiapkan kredensi layanan - Amazon Quick
PrasyaratIzinNilai yang dikumpulkan selama penyiapanLangkah 1: Buat kunci penandatanganan asimetris AWS KMSLangkah 2: Buat sertifikat yang ditandatangani sendiriLangkah 3: Daftarkan aplikasi di Microsoft Entra IDLangkah 3b: Berikan izin tingkat situs (hanya) Sites.SelectedLangkah 4: Berikan izin Amazon Cepat ke kunci KMSLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan kredensi layanan

Sebelum Anda membuat basis pengetahuan di Amazon Quick, selesaikan langkah-langkah konfigurasi berikut di AWS dan Microsoft Entra ID. Anda membuat kunci penandatanganan KMS, menghasilkan sertifikat, mendaftarkan aplikasi di Entra, dan memberikan izin Amazon Quick untuk menggunakan kunci tersebut.

Pengaturan ini melibatkan beberapa sistem dan mungkin memerlukan koordinasi antara administrator yang berbeda di organisasi Anda. Tabel berikut merangkum setiap langkah dan peran yang diperlukan untuk menyelesaikannya.

Langkah dan peran pengaturan
Langkah Apa yang Anda lakukan Peran yang dibutuhkan
1. Kunci KMS Buat kunci penandatanganan asimetris di AWS KMS. AWS administrator (akses konsol KMS dan IAM)
2. Sertifikat Buat sertifikat yang ditandatangani sendiri menggunakan kunci publik KMS. Sama seperti Langkah 1 (AWS CLI dan OpenSSL diperlukan)
3. Aplikasi Entra Daftarkan aplikasi di Microsoft Entra, tetapkan izin API, dan unggah sertifikat. Admin Global Microsoft 365 atau Admin Peran Istimewa
3b. Sites.Selected (opsional) Buat aplikasi admin sementara dan berikan izin per situs melalui Microsoft Graph API. Microsoft 365 Global Admin (sama dengan Langkah 3)
4. Akses kunci KMS Berikan izin Amazon Quick untuk menggunakan kunci KMS untuk penandatanganan. Administrator Cepat Amazon (Admin Pro)
5. Buat KB Buat basis pengetahuan di Amazon Quick menggunakan kredensil dari langkah sebelumnya. Setiap pengguna Amazon Quick (Penulis Pro atau Admin Pro)
Tip

Di banyak organisasi, satu orang dengan keduanya AWS dan akses administrator Microsoft 365 dapat menyelesaikan semua langkah. Jika tanggung jawab dibagi di seluruh tim, bagikan tabel ini untuk mengoordinasikan pengaturan.

Prasyarat

Sebelum Anda mulai, pastikan Anda memiliki yang berikut:

  • AWS Akun dengan instans Amazon Quick aktif.

  • Akses ke konsol AWS KMS (untuk membuat kunci penandatanganan).

  • Amazon Akses administrator Cepat (peran Admin Pro) untuk memberikan izin kunci KMS.

  • Penyewa Microsoft 365 dengan SharePoint Online.

  • Administrator Global atau akses Administrator Peran Istimewa di Microsoft Entra ID.

  • OpenSSL 3.0 atau yang lebih baru dan AWS CLI diinstal secara lokal.

  • AWS Akun dan instans Amazon Quick harus berada di Wilayah yang sama.

Izin

Izin yang Anda tetapkan bergantung pada dua pilihan:

  • Apakah Anda berencana untuk mengaktifkan kontrol akses tingkat dokumen (perayapan ACL).

  • Apakah Anda ingin memberikan akses ke semua SharePoint situs atau hanya situs tertentu.

Pilih ruang lingkup izin Anda

Secara default, pendaftaran aplikasi Entra menggunakan Sites.Read.All atauSites.FullControl.All, yang memberikan akses ke semua SharePoint situs di penyewa Anda. Jika organisasi Anda memerlukan akses hak istimewa paling sedikit, Anda dapat menggunakannya sebagai gantinya. Sites.Selected DenganSites.Selected, aplikasi hanya dapat mengakses situs yang Anda berikan izin secara eksplisit.

Perbandingan ruang lingkup izin
Lingkup Akses Langkah-langkah tambahan
Semua situs (default) Aplikasi dapat membaca semua SharePoint situs di penyewa.
Sites.Selected Aplikasi hanya dapat mengakses situs yang Anda berikan secara eksplisit. Memerlukan aplikasi admin sementara dan panggilan Microsoft Graph API untuk setiap situs. Lihat Langkah 3b: Berikan izin tingkat situs (hanya) Sites.Selected.
catatan

Jika Anda menggunakannyaSites.Selected, Anda harus memberikan akses untuk setiap situs secara individual. Setiap situs baru yang ditambahkan ke basis pengetahuan di masa depan juga memerlukan hibah izin terpisah.

Semua situs — konten saja (tidak ada ACL)

Content-only izin
API Izin Tipe
Grafik Microsoft Sites.Read.All Aplikasi
SharePoint ISTIRAHAT Sites.Read.All Aplikasi

Semua situs — dengan perayapan ACL

Izin perayapan ACL
API Izin Tipe
Grafik Microsoft Sites.Read.All Aplikasi
Grafik Microsoft User.Read.All Aplikasi
Grafik Microsoft GroupMember.Read.All Aplikasi
SharePoint ISTIRAHAT Sites.FullControl.All Aplikasi
penting

Pilih izin semua situs di tabel sebelumnya atau Sites.Selected izin di tabel berikut. Jangan menggabungkan keduanya. Jika Anda tidak yakin, mulailah dengan semua situs. Anda dapat membuat pendaftaran aplikasi Entra baru dengan Sites.Selected nanti jika diperlukan.

Sites.Selected — konten saja (tidak ada ACL)

Sites.Selected izin konten saja
API Izin Tipe
Grafik Microsoft Sites.Selected Aplikasi
SharePoint ISTIRAHAT Sites.Selected Aplikasi

Sites.Selected — dengan perayapan ACL

Sites.Selected Izin perayapan ACL
API Izin Tipe
Grafik Microsoft Sites.Selected Aplikasi
Grafik Microsoft User.Read.All Aplikasi
Grafik Microsoft GroupMember.Read.All Aplikasi
SharePoint ISTIRAHAT Sites.Selected Aplikasi
catatan

OneNote crawling (Notes.Read.All) tidak didukung dalam pengaturan yang dikelola admin. Microsoft menghentikan token khusus aplikasi untuk OneNote API pada 31 Maret 2025. Gunakan User-managed penyiapan untuk OneNote konten.

Nilai yang dikumpulkan selama penyiapan

Tabel berikut merangkum nilai yang Anda buat atau kumpulkan selama penyiapan dan di mana Anda menggunakannya.

Referensi nilai
Nilai Dibuat dalam langkah Digunakan dalam langkah
KMS Kunci ARN 1 (KM) 2 (Sertifikat), 4 (IAM), Pengaturan cepat
Berkas sertifikat (certificate.cer) 2 (Sertifikat) 3 (Unggah Entra)
Sidik jari sertifikat (base64url) 2 (Sertifikat) Pengaturan cepat
ID Aplikasi (Klien) 3 (Entra) Pengaturan cepat
ID Direktori (Penyewa) 3 (Entra) Pengaturan cepat
SharePoint URL domain Penyewa M365 Anda Pengaturan cepat

Langkah 1: Buat kunci penandatanganan asimetris AWS KMS

Amazon Quick menggunakan kunci asimetris AWS KMS untuk menandatangani pernyataan OAuth saat mengautentikasi dengan Microsoft Entra ID. Kunci pribadi tidak pernah meninggalkan KMS. Hanya kunci publik yang diekspor dan disematkan dalam sertifikat yang akan diunggah ke pendaftaran aplikasi Entra Anda.

Buat kunci KMS

  1. Buka konsol AWS KMS.

  2. Di navigasi kiri, pilih Kunci yang dikelola pelanggan.

  3. Pilih Buat kunci.

Konfigurasikan kuncinya

Pada halaman tombol Configure, atur nilai berikut:

Konfigurasi kunci KMS
Pengaturan Nilai
Tipe Kunci Asimetris
Penggunaan kunci Tanda tangan dan verifikasi
Spesifikasi kunci RSA_2048
Asal material kunci KMS (disarankan)
Regionalitas Single-Region kunci (default). Multi-Region kunci tidak didukung.

Tambahkan label

Pada halaman Tambahkan label, masukkan alias untuk kunci tersebut. Sebagai contoh: quick-sharepoint-service-auth.

catatan

Administrator kunci dan izin penggunaan kunci pada halaman berikut adalah opsional. Defaultnya cukup untuk pengaturan ini. Anda memberikan Amazon Quick akses ke kunci secara terpisah di Langkah 4.

Pilih Lewati untuk meninjau, lalu pilih Selesai untuk membuat kunci.

Rekam ARN Kunci

Setelah kunci dibuat, buka halaman detail kunci dan rekam ARN Kunci. ARN memiliki format berikut:

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Anda memerlukan nilai ini di Langkah 2, 4, dan saat Anda membuat basis pengetahuan di Quick.

Langkah 2: Buat sertifikat yang ditandatangani sendiri

Microsoft Entra ID memerlukan X.509 sertifikat untuk memvalidasi pernyataan yang ditandatangani. Karena kunci pribadi KMS tidak pernah meninggalkan AWS KMS, Anda tidak dapat menggunakannya secara langsung dengan OpenSSL. Sebagai gantinya, Anda membuat key pair lokal sementara dan membuat permintaan penandatanganan sertifikat. Kemudian, gunakan opsi -force_pubkey OpenSSL untuk menyuntikkan kunci publik KMS ke dalam sertifikat akhir. Hasilnya adalah sertifikat yang ditandatangani sendiri yang kunci publiknya cocok dengan key pair KMS.

Prasyarat

  • AWS CLI diinstal dan dikonfigurasi.

  • OpenSSL 3.0 atau yang lebih baru.

  • ARN Kunci KMS dari Langkah 1.

Hasilkan sertifikat

Jalankan perintah berikut di terminal. Ganti placeholder nilai dengan nilai Anda sendiri.

Verifikasi versi OpenSSL

openssl version

Konfirmasikan output menunjukkan versi 3.0 atau yang lebih baru.

Ekspor kunci publik KMS

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
catatan

Di macOS, gunakan base64 --decode atau base64 -D bergantung pada lingkungan shell Anda.

Konversi kunci publik ke format PEM

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Menghasilkan key pair lokal sementara

openssl genrsa -out temp_private_key.pem 2048

Buat permintaan penandatanganan sertifikat

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Hasilkan sertifikat dengan kunci publik KMS

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
catatan

OpenSSL menampilkan peringatan. Signature key and public key of cert do not match Hal ini diharapkan karena sertifikat ditandatangani dengan kunci lokal sementara tetapi berisi kunci publik KMS. Sertifikat ini valid dan berfungsi dengan benar dengan Microsoft Entra.

Konversi ke format DER untuk unggah Entra

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Bersihkan file sementara

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
penting

Simpan certificate.cer filenya. Anda mengunggahnya ke Microsoft Entra ID di Langkah 3.

Hitung cap jempol sertifikat

Jalankan perintah berikut untuk menghitung cap jempol berenkode base64url SHA-1 dari sertifikat:

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Catat nilai ini. Anda memasukkannya saat Anda membuat basis pengetahuan di Quick.

catatan

Cetak jempol yang disandikan base64url berbeda dari sidik jari heksadesimal yang ditampilkan di portal Microsoft Entra. Cepat membutuhkan format base64url.

Langkah 3: Daftarkan aplikasi di Microsoft Entra ID

Langkah ini diperlukan terlepas dari apakah Anda menggunakan izin semua situs atau. Sites.Selected Satu-satunya perbedaan adalah izin API mana yang Anda tetapkan di bagian ini. Konfigurasikan izin API

Daftarkan aplikasi

  1. Masuk ke pusat admin Microsoft Entra.

  2. Di navigasi kiri, perluas ID Entra dan pilih Pendaftaran aplikasi.

  3. Pilih Pendaftaran baru.

  4. Untuk Nama, masukkan QuickSharePointServiceAuth.

  5. Untuk jenis akun yang didukung, pilih Akun di direktori organisasi ini saja (Penyewa tunggal).

  6. Biarkan Redirect URI kosong. URI pengalihan tidak diperlukan karena aplikasi menggunakan alur kredensional klien, bukan alur masuk interaktif.

  7. PilihPendaftaran.

Rekam detail aplikasi

Pada halaman Ikhtisar aplikasi, catat nilai-nilai berikut:

Detail aplikasi
Nilai Lokasi
ID Aplikasi (klien) Ditampilkan di halaman Ikhtisar di bawah Essentials.
ID Direktori (penyewa) Ditampilkan di halaman Ikhtisar di bawah Essentials.

Konfigurasikan izin API

Tambahkan izin yang cocok dengan kasus penggunaan Anda. Pilih izin dari tabel di Izin bagian. Berdasarkan pilihan Anda pada cakupan izin Anda (semua situs atau Sites.Selected) dan apakah Anda mengaktifkan perayapan ACL.

Hanya konten - Microsoft Graph

  • Sites.Read.All

Konten saja - SharePoint

  • Sites.Read.All

Perayapan ACL — Microsoft Graph (tambahan)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

Perayapan ACL — SharePoint

  • Sites.FullControl.All

catatan

Sites.FullControl.Alldiperlukan untuk perayapan ACL karena SharePoint REST API memerlukan izin kontrol penuh untuk membaca penetapan izin tingkat situs dan tingkat item. Jika Anda menggunakanSites.Selected, lihat Langkah 3b: Berikan izin tingkat situs (hanya) Sites.Selected set izin alternatif.

  1. Di navigasi kiri pendaftaran aplikasi Anda, pilih izin API.

  2. Pilih Tambahkan izin.

  3. Pilih Microsoft Graph.

  4. Pilih Izin aplikasi.

  5. Cari dan pilih izin Microsoft Graph yang diperlukan untuk kasus penggunaan Anda, lalu pilih Tambahkan izin.

  6. Pilih Tambah izin lagi.

  7. Pilih SharePoint(di bawah Microsoft API).

  8. Pilih Izin aplikasi.

  9. Cari dan pilih SharePoint izin yang diperlukan untuk kasus penggunaan Anda, lalu pilih Tambahkan izin.

penting

Pilih tab Izin aplikasi, bukan izin Delegasi. Admin-managed setup menggunakan alur kredensi klien, yang memerlukan izin aplikasi.

  1. Pada halaman izin API, pilih Berikan izin admin untuk [Organisasi Anda].

  2. Konfirmasikan persetujuan saat diminta.

penting

Persetujuan admin diperlukan untuk izin aplikasi. Tanpa itu, aplikasi tidak dapat mengakses SharePoint data.

Unggah sertifikat

  1. Di navigasi kiri pendaftaran aplikasi Anda, pilih Sertifikat & rahasia.

  2. Pilih tab Sertifikat.

  3. Pilih Unggah sertifikat.

  4. Pilih certificate.cer file yang Anda buat di Langkah 2.

  5. Pilih Tambahkan.

catatan

Portal Entra menampilkan sidik jari sertifikat dalam format heksadesimal. Ini berbeda dari cap jempol yang disandikan base64url yang Anda hitung di Langkah 2. Gunakan nilai base64url saat Anda mengonfigurasi basis pengetahuan di Quick.

Langkah 3b: Berikan izin tingkat situs (hanya) Sites.Selected

Jika Anda memilih Sites.Selected sebagai cakupan izin, Anda harus secara eksplisit memberikan akses aplikasi Amazon Quick Entra ke setiap situs. SharePoint Ini memerlukan aplikasi admin sementara dengan Sites.FullControl.All izin untuk memanggil Microsoft Graph API.

Lewati langkah ini jika Anda menggunakan lingkup izin semua situs (Sites.Read.AllatauSites.FullControl.All).

Dapatkan ID Situs untuk setiap SharePoint situs

Anda memerlukan ID Situs untuk setiap SharePoint situs yang ingin Anda akses. Untuk mendapatkan ID Situs:

  1. Di browser Anda, navigasikan ke SharePoint situs (misalnya,https://yourcompany.sharepoint.com/sites/SiteName).

  2. Tambahkan /_api/site/id ke URL dan tekan Enter. Misalnya: https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. Halaman menampilkan respons XMLyang berisi ID Situs (GUID). Catat nilai ini.

Ulangi untuk setiap situs yang ingin Anda sertakan dalam basis pengetahuan.

Buat aplikasi admin sementara

Aplikasi admin hanya digunakan untuk memberikan izin tingkat situs ke aplikasi Amazon Quick Anda. Anda dapat menghapusnya setelah menyelesaikan langkah ini.

  1. Di pusat admin Microsoft Entra, buka Pendaftaran aplikasi dan pilih Pendaftaran baru.

  2. Untuk Nama, masukkan nama deskriptif sepertiQuick-SharePoint-PermissionGranter.

  3. Untuk jenis akun yang didukung, pilih Akun di direktori organisasi ini saja (Penyewa tunggal).

  4. Biarkan Redirect URI kosong dan pilih Register.

  5. Rekam ID Aplikasi (klien) dari halaman Ikhtisar.

  6. Pilih izin API, lalu Tambahkan izin.

  7. Pilih Microsoft Graph, lalu Izin aplikasi. Cari dan pilihSites.FullControl.All. Pilih Tambahkan izin.

  8. Pilih Berikan persetujuan admin untuk [Organisasi Anda] dan konfirmasikan.

  9. Pilih Sertifikat & rahasia, lalu Rahasia klien baru. Masukkan deskripsi, pilih periode kedaluwarsa, dan pilih Tambah.

  10. Catat Nilai rahasia segera. Nilai ini hanya ditampilkan sekali.

penting

Salin Nilai rahasia, bukan ID Rahasia. Nilai adalah string yang lebih panjang yang digunakan untuk otentikasi.

Dapatkan token akses

Gunakan kredensi aplikasi admin untuk mengambil token OAuth dari Microsoft Entra. Ganti placeholder nilai dengan ID klien aplikasi admin Anda, nilai rahasia, dan ID penyewa.

macOS dan Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Jendela (PowerShell)

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

Responsnya berisi access_token bidang. Catat nilai ini untuk langkah selanjutnya.

Berikan izin tingkat situs

Gunakan token admin untuk memberikan fullcontrol akses aplikasi Amazon Quick Entra Anda ke setiap SharePoint situs. Ganti placeholder nilai dengan ID Situs Anda, token admin, dan ID aplikasi klien dan nama tampilan dari Langkah 3.

macOS dan Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Jendela (PowerShell)

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Respons yang berhasil mencakup "roles": ["fullcontrol"] dan ID aplikasi klien di grantedToIdentities bidang.

penting

Ulangi perintah ini untuk setiap SharePoint situs yang ingin Anda sertakan dalam basis pengetahuan. Setiap situs baru yang ditambahkan di masa depan juga memerlukan hibah izin terpisah.

Bersihkan

Setelah Anda memberikan izin ke semua situs yang diperlukan, Anda dapat menghapus aplikasi admin sementara dari pusat admin Microsoft Entra. Izin tingkat situs yang Anda berikan tetap berlaku secara independen dari aplikasi admin.

catatan

Aplikasi admin sementara hanya digunakan di lingkungan lokal Anda untuk memanggil Microsoft Graph API. Amazon Quick tidak pernah melihat atau memiliki akses ke aplikasi admin atau kredensialnya. Hanya kredensi aplikasi klien yang diberikan ke Amazon Quick saat Anda membuat basis pengetahuan.

Langkah 4: Berikan izin Amazon Cepat ke kunci KMS

Amazon Quick memerlukan izin untuk menggunakan kunci KMS untuk menandatangani pernyataan OAuth. Anda memberikan izin ini dari konsol admin Amazon Quick.

catatan

Langkah ini memerlukan akses administrator Amazon Quick (peran Admin Pro). Jika Anda bukan administrator, minta admin Amazon Quick Anda untuk menyelesaikan langkah ini menggunakan kunci KMS ARN dari Langkah 1.

penting

Jika organisasi Anda mengelola peran layanan Amazon Quick IAM miliknya sendiri, langkah-langkah konsol berikut mungkin tidak berlaku. Sebagai gantinya, pastikan peran memiliki kms:Sign izin pada ARN kunci KMS dari Langkah 1.

  1. Di Amazon Quick, pilih Kelola akun dari panel navigasi kiri.

  2. Di bawah Izin, pilih AWS sumber daya.

  3. Pada halaman AWS sumber daya, gulir ke Layanan Manajemen AWS Kunci dan pilih kotak centang.

  4. Pilih Pilih tombol.

  5. Dalam dialog Select KMS keys, masukkan tombol KMS ARN yang Anda rekam di Langkah 1 dan pilih Tambah.

  6. Kunci ARN muncul dalam daftar. Pilih Selesai.

  7. Pilih Simpan di bagian bawah halaman AWS sumber daya.

Langkah selanjutnya

Setelah Anda menyelesaikan penyiapan, buat koneksi basis pengetahuan SharePoint Online di Amazon Quick. Untuk petunjuk, lihat Buat basis pengetahuan di Amazon Quick.